Cloud Pub/Sub イベントを GKE に転送する

Eventarc トリガーは、特定のイベントまたは一連のイベントに関心があることを宣言します。イベント ルーティングを構成するには、イベントソースと、GKE クラスタで実行されるターゲット Google Kubernetes Engine(GKE)サービスを含むトリガーのフィルタを指定します。なお、ターゲットには、パブリック エンドポイントがある(パブリックまたは限定公開の)GKE クラスタで実行されるサービスのみを含めることができます。プライベート エンドポイントを持つ GKE クラスタ内のサービスをターゲットにするには、内部 HTTP エンドポイントにイベントを転送します。

Eventarc は、HTTP リクエストを使用して、イベントを CloudEvents 形式でイベント レシーバーに配信します。

ここでは、Cloud Pub/Sub 直接イベントによってトリガーされる GKE サービスへのイベント ルーティングを構成する方法について説明します。この場合、イベントは Pub/Sub トピックに公開されたメッセージです。詳細については、対応している直接イベントのリストをご覧ください。

始める前に

宛先サービスが実行されている GKE クラスタで Workload Identity を有効にする必要があります。Workload Identity は、イベント フォワーダーを適切に設定するために必要です。セキュリティのプロパティと管理性が優れているため、GKE 内で実行されているアプリケーションから Google Cloud サービスにアクセスする場合におすすめの方法です。

GKE ターゲットに Eventarc イベントを送信するアーキテクチャ

Workload Identity

GKE で実行されるアプリケーションで、Google Cloud APIs へのアクセスが必要になる場合があります。Workload Identity では、GKE クラスタ内の Kubernetes サービス アカウントが IAM サービス アカウントとして機能します。構成された Kubernetes サービス アカウントを使用する Pod は、Google Cloud APIs にアクセスするときに IAM サービス アカウントとして自動的に認証されます。Workload Identity を使用すると、クラスタ内のアプリケーションごとに詳細に設定した個別の ID と認可を割り当てることができます。Eventarc トリガーのサービス アカウントに特定の権限を付与する必要があります。このドキュメントのサービス アカウントの作成の手順をご覧ください。

GKE クラスタで Workload Identity を有効にして構成する方法については、Workload Identity の使用をご覧ください。

イベント フォワーダー

Eventarc のイベント フォワーダーが Eventarc から新しいイベントを pull し、GKE の宛先に転送します。このコンポーネントは、Pub/Sub トランスポート層と GKE サービスの間の仲介役として機能します。これにより、設定やメンテナンスが簡素化されます。これは既存のサービスで動作するだけでなく、シグナリング サービス(フルマネージド クラスタ外に公開されていないサービスを含む)もサポートします。ネットワーク レベルでは、GKE サービスでイベントを受信するために、外部トラフィックに対してサービスを開く必要はありません。すべてのイベントは、同じ GKE クラスタ内に存在する送信元から配信されます。

イベント フォワーダーのライフサイクルは Eventarc によって管理されるため、誤ってイベント フォワーダーを削除すると、Eventarc はこのコンポーネントを復元します。

GKE の宛先を参照するトリガーごとに、イベント フォワーダー(明示的に構成された gke-forwarder Pod)は次の処理を行います。

  1. Pub/Sub API を使用して、トリガー トランスポート(Pub/Sub トピックとサブスクリプション)への StreamingPull 接続を開き、利用可能になったイベントを受信します。

  2. イベントを正しい CloudEvents 形式に変換してエンコードし、HTTP POST リクエストとしてターゲットの GKE サービスに配信します。

Eventarc サービス エージェントには、gke-forwarder インスタンスを実行して定期的に更新する権限が必要です。この権限は、プロジェクトごとに 1 回付与する必要があります。詳細については、このドキュメントの GKE の宛先を有効にするをご覧ください。

トリガーを作成する準備

Eventarc は、GKE サービスをターゲットとするトリガーごとにイベント フォワーダー コンポーネントを作成します。Eventarc には、コンポーネントをインストールして GKE クラスタ内のリソースを管理する権限が必要です。GKE の宛先に Eventarc トリガーを作成する前に、次のタスクを完了してください。

コンソール

  1. Google Cloud コンソールのプロジェクト セレクタ ページで、Google Cloud プロジェクトを選択または作成します。

    プロジェクト セレクタに移動

  2. Eventarc API、Eventarc Publishing API、Google Kubernetes Engine API、Resource Manager API を有効にします。

    API を有効にする

  3. 該当する場合は、直接イベントに関連する API を有効にします。たとえば、 Cloud Pub/Sub イベントの場合はCloud Pub/Sub API を有効にします。

  4. アカウントがない場合は、ユーザー管理のサービス アカウントを作成し、Eventarc がターゲット サービスのイベントを管理できるように、必要なロールと権限を付与します。

    1. Google Cloud コンソールで [サービス アカウントの作成] ページに移動します。

      [サービス アカウントの作成] に移動

    2. プロジェクトを選択します。

    3. [サービス アカウント名] フィールドに名前を入力します。Google Cloud コンソールでは、この名前に基づいて [サービス アカウント ID] フィールドに値が設定されます。

      [サービス アカウントの説明] フィールドに説明を入力します。例: Service account for event trigger

    4. [作成して続行] をクリックします。

    5. 適切なアクセス権を付与するには、[ロールを選択] リストで、サービス アカウントに必要な Identity and Access Management(IAM)ロールを選択します。詳細については、GKE ターゲットのロールと権限をご覧ください。

      ロールを追加するには、[別のロールを追加] をクリックして各ロールを追加します。

    6. [続行] をクリックします。

    7. アカウントの作成を完了するには、[完了] をクリックします。

gcloud

  1. Google Cloud コンソールで、「Cloud Shell をアクティブにする」をクリックします。

    Cloud Shell をアクティブにする

    Google Cloud コンソールの下部で Cloud Shell セッションが開始し、コマンドライン プロンプトが表示されます。Cloud Shell はシェル環境です。Google Cloud CLI がすでにインストールされており、現在のプロジェクトの値もすでに設定されています。セッションが初期化されるまで数秒かかることがあります。

  2. Eventarc API、Eventarc Publishing API、Google Kubernetes Engine API、Resource Manager API を有効にします。

    gcloud services enable eventarc.googleapis.com \
    eventarcpublishing.googleapis.com \
    container.googleapis.com \
    cloudresourcemanager.googleapis.com

  3. 該当する場合は、直接イベントに関連する API を有効にします。たとえば、 Cloud Pub/Sub イベントの場合は pubsub.googleapis.com を有効にします。

  4. アカウントがない場合は、ユーザー管理のサービス アカウントを作成し、Eventarc がターゲット GKE の宛先のイベントを管理できるように、必要なロールと権限を付与します。

    1. サービス アカウントを作成します。

      gcloud iam service-accounts create SERVICE_ACCOUNT_NAME

      SERVICE_ACCOUNT_NAME は、サービス アカウントの名前に置き換えます。6~30 文字で、小文字の英数字とダッシュを使用できます。作成したサービス アカウントの名前は変更できません。

    2. 必要な Identity and Access Management(IAM)のロールまたは権限を付与します。詳細については、GKE ターゲットのロールと権限をご覧ください。

GKE の宛先を有効にする

Eventarc が GKE クラスタ内のリソースを管理できるようにするには、GKE の宛先を有効にし、Eventarc サービス エージェントを必要なロールにバインドします。

  1. Eventarc 用に GKE の宛先を有効にします。

    gcloud eventarc gke-destinations init

  2. 必要なロールをバインドするよう求められたら、「y」と入力します。

    次のロールがバインドされます。

    • roles/compute.viewer
    • roles/container.developer
    • roles/iam.serviceAccountAdmin

トリガーを作成する

Eventarc トリガーは、Google Cloud CLI または Google Cloud コンソールを使用して作成できます。

コンソール

  1. Google Cloud コンソールで、[Eventarc] の [トリガー] ページに移動します。

    [トリガー] に移動

  2. [トリガーを作成] をクリックします。
  3. トリガー名を入力します。

    これはトリガーの ID で、先頭は英字にする必要があります。63 文字以下とし、小文字、数字、ハイフンを使用することができます。

  4. [トリガーのタイプ] で、[Google のソース] を選択します。
  5. [イベント プロバイダ] リストで「Cloud Pub/Sub」を選択します。

    関連する Google Cloud のドキュメントでは、イベント プロバイダ名の前に Cloud または Google Cloud が付いていない場合があります。たとえば、Memorystore for Redis はコンソールで Google Cloud Memorystore for Redis と表示されます。

  6. [イベントタイプ] リストで、直接イベントから google.cloud.pubsub.topic.v1.messagePublished を選択します。
  7. [Cloud Pub/Sub トピックを選択してください] リストでトピックを選択するか、デフォルトの [なし] をそのまま使用して、新しいトピックを作成します。
  8. [リージョン] リストで、イベントを生成している Google Cloud サービスと同じリージョンを選択します。

    詳細については、Eventarc のロケーションをご覧ください。

  9. サービスまたはワークフローを呼び出すサービス アカウントを選択します。

    新しいサービス アカウントを作成することもできます。

    これにより、トリガーに関連付けられた Identity and Access Management(IAM)サービス アカウントのメールアドレスが設定されます。このメールアドレスには、Eventarc が必要とする特定のロールがすでに付与されています。

  10. [イベントの宛先] リストで、[Kubernetes Engine] を選択します。
  11. サービスを選択します。

    これは、トリガーのイベントを受信するサービスの名前です。サービスはトリガーと同じプロジェクトに配置する必要があり、イベントが生成されるたびに、ルート URL パス(/)に送信された HTTP POST リクエストとしてイベントを受信します。

  12. 必要に応じて、受信リクエストの送信先であるサービスの URL パスを指定できます。

    これは、トリガーのイベントの送信先である宛先サービスの相対パスです。例: //routerouteroute/subroute

  13. [作成] をクリックします。

    14. トリガーの作成後は、イベントソースのフィルタを変更できません。代わりに、新しいトリガーを作成して古いトリガーを削除します。詳しくは、トリガーの管理をご覧ください。

gcloud

トリガーを作成するには、必須フラグとオプションのフラグを指定して gcloud eventarc triggers create コマンドを実行します。

Pub/Sub メッセージ(既存のトピック)

gcloud eventarc triggers create TRIGGER \
    --location=LOCATION \
    --destination-gke-cluster=DESTINATION_GKE_CLUSTER \
    --destination-gke-location=DESTINATION_GKE_LOCATION \
    --destination-gke-namespace=DESTINATION_GKE_NAMESPACE \
    --destination-gke-service=DESTINATION_GKE_SERVICE \
    --destination-gke-path=DESTINATION_GKE_PATH \
    --event-filters="type=google.cloud.pubsub.topic.v1.messagePublished" \
    --transport-topic=projects/PROJECT_ID/topics/TOPIC_ID \
    --service-account=SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com

次のように置き換えます。

  • TRIGGER: トリガーの ID または完全修飾識別子。
  • LOCATION: Eventarc トリガーのロケーション。eventarc/location プロパティを設定することもできます(例: gcloud config set eventarc/location us-central1)。

    Eventarc 用の Pub/Sub トリガーは、単一リージョンのロケーションでのみ使用できます。グローバル Eventarc トリガーを作成することはできません。詳細については、Eventarc のロケーションをご覧ください。

  • DESTINATION_GKE_CLUSTER: イベントを受信するターゲット GKE サービスが実行されている GKE クラスタの名前。
  • DESTINATION_GKE_LOCATION: (省略可)宛先の GKE サービスが実行されている GKE クラスタの Compute Engine リージョン。指定しない場合は、クラスタがリージョン クラスタで、トリガーと同じリージョンに存在するものとみなされます。
  • DESTINATION_GKE_NAMESPACE: (省略可)宛先の GKE サービスが実行されている Namespace。指定しない場合は、default Namespace が使用されます。
  • DESTINATION_GKE_SERVICE: トリガーのイベントを受け取る GKE サービスの名前。サービスは、GKE でサポートされているどのロケーションにも配置できます。トリガーと同じロケーションに配置する必要はありません。ただし、サービスはトリガーと同じプロジェクトに配置する必要があり、イベントが生成されるたびに、ルート URL パス(/)に送信された HTTP POST リクエストとしてイベントを受信します。
  • DESTINATION_GKE_PATH: (省略可)宛先の GKE サービスでトリガーのイベントの送信先として指定する相対パス。例: //routerouteroute/subroute
  • PROJECT_ID: Google Cloud プロジェクト ID。
  • TOPIC_ID: 既存の Pub/Sub トピックの ID。トピックは、トリガーと同じプロジェクトに存在する必要があります。
  • SERVICE_ACCOUNT_NAME: ユーザー管理のサービス アカウントの名前。

注:

  • --event-filters="type=google.cloud.pubsub.topic.v1.messagePublished" フラグは必須で、変更できません。別のイベントタイプには、新しいトリガーを作成する必要があります。
  • 各トリガーには複数のイベント フィルタを指定できます。その場合は、--event-filters=[ATTRIBUTE=VALUE,...] フラグにカンマ区切りで指定する必要があります。さらにフィルタを追加するには、このフラグを繰り返し指定します。すべてのフィルタに一致するイベントのみが宛先に送信されます。ワイルドカードと正規表現はサポートされていません。
  • --transport-topic フラグには、既存の Pub/Sub トピックの ID または完全修飾識別子を指定します。
  • デフォルトでは、Eventarc 用に作成された Pub/Sub サブスクリプションはアクティビティに関係なく保持され、期限切れになりません。非アクティブ期間を変更するには、サブスクリプションの管理をご覧ください。

例:

gcloud eventarc triggers create helloworld-trigger \
    --destination-gke-cluster=gke-events-cluster \
    --destination-gke-location=us-central1-a \
    --destination-gke-namespace=default \
    --destination-gke-service=helloworld \
    --destination-gke-path=/ \
    --event-filters="type=google.cloud.pubsub.topic.v1.messagePublished" \
    --transport-topic=projects/${PROJECT_ID}/topics/${TOPIC_ID} \
    --service-account=${SERVICE_ACCOUNT_NAME}@${PROJECT_ID}.iam.gserviceaccount.com

このコマンドにより、projects/${PROJECT_ID}/topics/${TOPIC_ID} で識別される Pub/Sub トピックに helloworld-trigger というトリガーが作成されます。

Pub/Sub メッセージ(新しいトピック)

gcloud eventarc triggers create TRIGGER \
    --location=LOCATION \
    --destination-gke-cluster=DESTINATION_GKE_CLUSTER \
    --destination-gke-location=DESTINATION_GKE_LOCATION \
    --destination-gke-namespace=DESTINATION_GKE_NAMESPACE \
    --destination-gke-service=DESTINATION_GKE_SERVICE \
    --destination-gke-path=DESTINATION_GKE_PATH \
    --event-filters="type=google.cloud.pubsub.topic.v1.messagePublished" \
    --service-account=SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com

次のように置き換えます。

  • TRIGGER: トリガーの ID または完全修飾識別子。
  • LOCATION: Eventarc トリガーのロケーション。eventarc/location プロパティを設定することもできます(例: gcloud config set eventarc/location us-central1)。

    Eventarc 用の Pub/Sub トリガーは、単一リージョンのロケーションでのみ使用できます。グローバル Eventarc トリガーを作成することはできません。詳細については、Eventarc のロケーションをご覧ください。

  • DESTINATION_GKE_CLUSTER: イベントを受信するターゲット GKE サービスが実行されている GKE クラスタの名前。
  • DESTINATION_GKE_LOCATION: (省略可)宛先の GKE サービスが実行されている GKE クラスタの Compute Engine リージョン。指定しない場合は、クラスタがリージョン クラスタで、トリガーと同じリージョンに存在するものとみなされます。
  • DESTINATION_GKE_NAMESPACE: (省略可)宛先の GKE サービスが実行されている Namespace。指定しない場合は、default Namespace が使用されます。
  • DESTINATION_GKE_SERVICE: トリガーのイベントを受け取る GKE サービスの名前。サービスは、GKE でサポートされているどのロケーションにも配置できます。トリガーと同じロケーションに配置する必要はありません。ただし、サービスはトリガーと同じプロジェクトに配置する必要があり、イベントが生成されるたびに、ルート URL パス(/)に送信された HTTP POST リクエストとしてイベントを受信します。
  • DESTINATION_GKE_PATH: (省略可)宛先の GKE サービスでトリガーのイベントの送信先として指定する相対パス。例: //routerouteroute/subroute
  • SERVICE_ACCOUNT_NAME: ユーザー管理のサービス アカウントの名前。
  • PROJECT_ID: Google Cloud プロジェクト ID。

注:

  • --event-filters="type=google.cloud.pubsub.topic.v1.messagePublished" フラグは必須で、変更できません。別のイベントタイプには、新しいトリガーを作成する必要があります。
  • 各トリガーには複数のイベント フィルタを指定できます。その場合は、--event-filters=[ATTRIBUTE=VALUE,...] フラグにカンマ区切りで指定する必要があります。さらにフィルタを追加するには、このフラグを繰り返し指定します。すべてのフィルタに一致するイベントのみが宛先に送信されます。ワイルドカードと正規表現はサポートされていません。
  • デフォルトでは、Eventarc 用に作成された Pub/Sub サブスクリプションはアクティビティに関係なく保持され、期限切れになりません。非アクティブ期間を変更するには、サブスクリプションの管理をご覧ください。

例:

gcloud eventarc triggers create helloworld-trigger \
    --location=us-central1 \
    --destination-gke-cluster=gke-events-cluster \
    --destination-gke-location=us-central1-a \
    --destination-gke-namespace=default \
    --destination-gke-service=helloworld \
    --destination-gke-path=/ \
    --event-filters="type=google.cloud.pubsub.topic.v1.messagePublished" \
    --service-account=${SERVICE_ACCOUNT_NAME}@${PROJECT_ID}.iam.gserviceaccount.com

これにより、新しい Pub/Sub トピックと helloworld-trigger というトリガーが作成されます。

Terraform

Terraform を使用して、GKE の宛先のトリガーを作成できます。詳細については、Terraform を使用してトリガーを作成するをご覧ください。

トリガーを一覧表示する

トリガーの作成を確認するには、Google Cloud CLI または Google Cloud コンソールを使用して Eventarc トリガーを一覧表示します。

コンソール

  1. Google Cloud コンソールで、[Eventarc] の [トリガー] ページに移動します。

    [トリガー] に移動

    このページには、すべてのロケーションのトリガーが一覧表示されます。また、名前、リージョン、イベント プロバイダ、宛先などの詳細情報も表示されます。

  2. トリガーをフィルタするには:

    1. [ フィルタ] フィールドまたは [トリガーをフィルタリング] フィールドをクリックします。
    2. [プロパティ] リストで、トリガーをフィルタするオプションを選択します。

    1 つのプロパティを選択することも、論理演算子 OR を使用して複数のプロパティを追加することもできます。

  3. トリガーを並べ替えるには、サポートされている列見出しの横にある [ 並べ替え] をクリックします。

gcloud

次のコマンドを実行してトリガーを一覧表示します。

gcloud eventarc triggers list --location=-

すべてのロケーションのトリガーが一覧表示されます。名前、タイプ、宛先、ステータスなどの詳細情報も表示されます。

次のステップ